I trojan horse nelle intercettazioni: il sottile equilibrio tra diritto alla privacy ed esigenze investigative

di Mattia Caiazza

Il 27 febbraio scorso, pochi giorni prima che avesse inizio il lockdown dovuto all’emergenza epidemiologica da Covid-19, è stata approvata la legge sulle intercettazioni che ha convertito il d.l. 161/2019; l’obiettivo espresso di questo intervento normativo è quello di “potenziare le intercettazioni come strumento d’indagine ma nel contempo garantire una difesa solida della privacy” come allora dichiarato dal Ministro della Giustizia.

Tra le principali novità che sono state apportate rispetto al testo del 2017 vi è quella della necessità da parte del pubblico ministero di decidere sulla rilevanza delle conversazioni o dei dati raccolti tramite gli strumenti informatici utilizzati; è quindi la pubblica accusa a determinare quali intercettazioni, tra quelle raccolte, sono rilevanti e hanno valore probatorio rispetto al capo d’accusa, e solo in seguito anche il Giudice per le indagini preliminari si pronuncerà su di esse. Il pubblico ministero, ai sensi del nuovo dettato normativo, dovrebbe peraltro prestare più attenzione ai contenuti del materiale che decide di inserire nel fascicolo d’indagine poiché questo non potrà contenere espressioni lesive della reputazione delle persone o comunque riguardanti dati sensibili, a meno che anch’esse non siano rilevanti per l’indagine.

Queste intercettazioni possono essere utilizzate anche in procedimenti diversi e per reati diversi rispetto a quelli per le quali sono state disposte, a patto che risultino essenziali per la prova di tali reati e che si tratti di reati per i quali è possibile avvalersi delle intercettazioni.

La seconda notevole novità introdotta riguarda le ipotesi in cui è possibile utilizzare i c.d. “trojan horse” per captare informazioni dal telefono cellulare della persona indagata: se in precedenza era possibile farlo solamente nelle indagini riguardanti reati molto gravi, ora possono impiegarsi questi software anche in reati contro la pubblica amministrazione commessi da incaricati di pubblico servizio e pubblici ufficiali se puniti con una pena superiore ai cinque anni.

Le informazioni captate tramite trojan sono equiparabili in tutto e per tutto a delle intercettazioni ambientali, in quanto trasformano il telefono della persona sul quale sono installati in una vera e propria cimice portatile, con possibilità di captare ogni tipo di conversazione tra coloro che si trovano nei pressi dell’apparecchio.

L’impiego di tali trojan è sottoposto a regole restrittive: possono essere utilizzati solo software ritenuti conformi a determinati requisiti tecnici stabiliti con decreto dallo stesso Ministro della Giustizia, che vanno peraltro specificatamente indicati nel verbale delle operazioni, con il luogo – se conosciuto – in cui sono avvenute le conversazioni oggetto dell’intercettazione.

Una volta raccolti, i dati verranno conservati in un archivio digitale che si trova sotto la direzione e sorveglianza del Procuratore della Repubblica[1]; quest’ultimo sarà quindi responsabile e dovrà garantire la segretezza della documentazione contenuta nell’archivio, soprattutto quella riguardante tutte quelle intercettazioni ritenute non rilevanti per l’indagine ma che possono comunque contenere informazioni sulle persone coinvolte. Rimane compito del Procuratore anche quello di regolare l’accesso all’archivio da parte dei soggetti autorizzati a richiedere copie o consultare la documentazione contenuta quali il giudice, il pubblico ministero i difensori e gli ausiliari autorizzati di questi.

Ai difensori è infatti consentito ascoltare le registrazioni sfruttando gli specifici apparecchi dell’archivio e portandosi in loco dove sono allestite delle apposite stanze.

Basandoci su una lettura puramente letterale dettato normativo, sembrerebbe che le esigenze di tutela della privacy e quelle investigative siano ben bilanciate da accorgimenti e restrizioni riguardo coloro che possono accedere alle informazioni raccolte con le intercettazioni.

Va tenuto però ben presente che utilizzare uno strumento quale i trojan per accedere alle informazioni, proprio per le loro caratteristiche specifiche dello strumento, può portare a conseguenze imprevedibili.

Esempio lampante è stato il caso del trojan Exodus, sviluppato dalla società calabrese E-surv e che nel 2018 è stato adottato dalla stragrande maggioranza delle procure italiane.

Venne poi alla luce[2] che il trojan era installato su circa mille dispositivi di cittadini totalmente estranei a qualsivoglia tipo di indagine, dal momento che si trovava all’interno di una ventina di applicazioni diffuse tramite Google Play. Vennero quindi raccolti i dati personali, le conversazioni telefoniche e di messaggistica di persone per le quali non vi era la necessità (né l’autorizzazione) ad agire in quel senso.

Ma al di là dell’aspetto puramente tecnico di questi metodi d’intercettazione, un altro grosso rischio per il diritto alla privacy è rappresentato dalla possibilità che la stampa pubblichi le intercettazioni.

Caso emblematico è quello che vede recentemente coinvolto un ex consigliere del CSM. L’inchiesta per corruzione a suo carico, condotta dalla procura di Perugia, è stata svolta principalmente proprio tramite l’installazione di un trojan nel suo cellulare, che ha permesso quindi di accedere a tutte le telefonate, i messaggi e le chat WhatsApp che sono state quindi acquisite dalla pubblica accusa. Molte di queste conversazioni sono state poi diffuse dalla stampa nonostante non fossero più rilevanti ai fini dell’indagine, in quanto le accuse per corruzione in atti giudiziari (capo d’imputazione per il quale erano state disposte originariamente le suddette intercettazioni) non erano più presenti nel capo d’accusa.

Risulta chiaro come le intercettazioni acquisite tramite un metodo così invasivo e indiscriminato possano portare a conseguenze dannose per la privacy non solo di colui che è direttamente sotto indagine, ma anche di tutti coloro che entrano in contatto con un soggetto indagato e che nulla hanno a che fare con un (possibile) reato, ma le cui personali conversazioni entrano a far parte delle intercettazioni d’indagine.

È facile intuire l’utilità che uno strumento come un software spyware abbia per le attività d’indagine, soprattutto oggi in cui la quasi totalità delle conversazioni passano attraverso un telefono cellulare; dall’altra parte, c’è da riflettere circa l’invasività dello strumento che consente di accedere ad ogni singolo contenuto all’interno del dispositivo, e dunque all’intera vita digitale della persona oggetto di intercettazione.

Nel bilanciare le esigenze investigative con il diritto alla privacy, l’impressione è che sempre più spesso l’ago della bilancia venga fatto pendere a favore delle (sacrosante) esigenze investigative, con sacrificio della riservatezza individuale; ciò, è dimostrato di recente anche da una sentenza della Suprema Corte, che ha dichiarato ammissibili come prove atipiche ai sensi dell’art. 189 c.p.p., le videoregistrazioni aventi ad oggetto comportamenti comunicativi e non comunicativi disposte dalla polizia giudiziaria nel corso delle indagini preliminari in luoghi non riconducibili al concetto di domicilio[3]; nello specifico, registrazioni video acquisite sulla tromba delle scale di un condominio all’interno del quale erano ubicati anche degli uffici aperti al pubblico.

Se da un lato è vero che l’utilizzo di questo metodo d’intercettazione è limitato a determinate categorie di reati – e quindi non trova una così grande diffusione – dall’altro si osserva come una possibile dilatazione del novero reati che ne consentono l’utilizzo sarebbe invece in grado di creare dei gravi rischi per il rispetto della privacy che difficilmente renderebbe l’intrusione dello Stato nella vita di un individuo giustificabile.


[1] Precedentemente le intercettazioni venivano tenute nell’archivio riservato presso l’ufficio del Pubblico Ministero

[2] L’informazione fu diffusa dall’organizzazione no profit Security Without Borders, nel corso di un’inchiesta fatta in collaborazione con la rivista Motherboard

[3] Corte di Cassazione sez. VI Penale, sentenza 13 novembre 2019 – 7 febbraio 2020, n. 5253


Autore:

 

it_IT
en_US it_IT